Есть несколько мест, на которые следует обратить внимание, и прежде всего это недостаточно тщательная проверка подлинности сертификата. Ищите места, где:
□ используется SSL или TLS;
□ не используется HTTPS;
□ ни библиотека, ни приложение не проверяют, что сертификат выпущен известным УЦ;
□ ни библиотека, ни приложение не контролируют важные поля в сертификате сервера.
Если приложение не удовлетворяет этим требованиям, то проверять, отозван ли сертификат, обычно не имеет смысла, так как есть проблемы, куда более серьезные, чем похищенные верительные грамоты.
Если же с указанными выше задачами приложение справляется, то следует обратить внимание на вопросы, связанные с CRL:
□ используется SSL или TLS;
□ не проверяется, был ли похищен закрытый ключ сервера и не отозван ли сертификат.